MID 서버 FIPS 적용 모드

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 4분

    • MID Server는 NSC(National Security Cloud) IL-5 환경을 지원하므로 사용되는 모든 암호화는 FIPS 검증을 받아야 합니다. MID 서버는 FIPS 검증된 암호화 알고리즘만 활용되는 FIPS 적용 모드에서 실행할 수 있습니다.

    보안 단계에 대한 설정 표시기MID 서버가 네트워크 내부 및 외부의 요소에 연결할 수 있는지 확인Linux 또는 Windows 호스트에서 MID 서버를 다운로드 및 설치MID 서버 구성MID 서버 보안 구성MID 서버가 네트워크 내부 및 외부의 요소에 연결할 수 있는지 확인Linux 또는 Windows 호스트에서 MID 서버를 다운로드 및 설치MID 서버 구성MID 서버 보안 구성

    연방 정보 처리 표준은 컴퓨터 시스템에 사용하기 위해 국립 표준 및 기술 연구소에서 컴파일한 표준 그룹입니다. 많은 FIPS 간행물이 있지만 이 논의를 위해 우리는 특히 FIPS 140-2: 암호화 모듈에 대한 보안 요구 사항을 언급합니다. 암호화 알고리즘은 NIST에서 지정한 유효성 검사 프로세스를 통해 진행될 수 있습니다. 새로운 보안 클라우드 환경을 위해 MID 서버는 이러한 프로세스에서 검증된 알고리즘을 활용합니다.

    JRE 버전이 11.0.9+11 이상인 Rome 릴리스 제품군 이상의 MID Server만 FIPS 적용 모드에서 실행되도록 설정할 수 있습니다.

    FIPS 적용 모드

    다음 알고리즘은 FIPS 적용 모드의 MID 서버에서 이러한 SSH 함수에 사용할 수 없습니다.

    키 교환:
    diffie-hellman-group1-sha1
    맥:
    • HMAC-MD5
    • HMAC-MD5-96

    이제 FIPS 적용 모드에서 MID 서버가 SNMP를 사용하는 데 다음과 같은 제한이 적용됩니다.

    • SNMP v1 및 v2는 완전히 비활성화됩니다.
    • SNMP v3의 경우 FIPS 적용 모드의 MID 서버에서 다음 프로토콜 사용을 허용하지 않습니다.
      • 인증 프로토콜: 없음 또는 MD5
      • 개인 프로토콜: 없음 또는 DES

    MID 서버를 활용하는 다른 기능은 FIPS 적용 모드에서 실행될 때 영향을 받을 수 있습니다. 자세한 내용은 해당 기능의 특정 설명서를 참조하십시오.

    MID 서버 FIPS 적용 모드 사용

    MID 서버는 FIPS 검증된 암호화 알고리즘만 활용되는 FIPS 적용 모드에서 실행할 수 있습니다.

    시작하기 전에

    필요한 역할: 관리자

    프로시저

    1. 새 MID 서버를 배포하거나 기존 MID 서버를 Rome 제품군 릴리스 이상으로 업그레이드합니다.
    2. MID 서버를 종료합니다.
    3. FIPS 적용 모드에서 실행되도록 MID를 변환하기 위해 제공된 다음 번들 스크립트를 실행합니다.
      • Windows 호스트의 경우: > <MID 설치 디렉터리>\agent\bin\scripts\set-fips-enforced-mode.bat on
      • Linux 호스트의 경우: $ <MID 설치 디렉터리>/agent/bin/scripts/set-fips-enforced-mode.sh
      수정된 파일의 위치와 변환 프로세스 중에 생성된 백업을 포함하여 성공이 콘솔에 기록됩니다. 프로그래밍 방식으로 호출되면 성공은 0 리턴 코드로 표시됩니다.
    4. MID 서버를 시작합니다.

    다음에 수행할 작업

    MID가 실행 중인 모드는 다음 두 가지 방법으로 확인할 수 있습니다.

    1. 시작 후 에이전트 로그를 확인하고 다음 로그 라인을 찾습니다. FIPS 적용 모드에서 실행
    2. 인스턴스의 ecc_agent 테이블을 확인하고 FIPS 적용 부울 열 값을 찾습니다.

    MID 서버를 FIPS 적용 모드로 수동 변환

    MID 서버는 FIPS 검증된 암호화 알고리즘만 활용되는 FIPS 적용 모드에서 실행할 수 있습니다.

    시작하기 전에

    필요한 역할: 관리자

    이 태스크 정보

    외부 JRE를 사용하는 동안 MID 서버를 FIPS 적용 모드로 수동 변환하려면 MID 서버가 종료된 상태에서 다음 단계를 수행해야 합니다.

    • JRE의 TrustStore를 BCFKS 유형으로 변환합니다.

    • JRE의 기본 KeyStore 유형을 BCFKS로 설정합니다.

    • MID 서버의 구성 파일에서 FIPS 적용 모드 플래그를 설정합니다.

    프로시저

    1. 다음과 유사한 명령으로 Java Keytool 을 사용하여 JRE의 cacerts 파일 형식을 BCFKS로 변환합니다.
      $ keytool -importkeystore -srckeystore <source keystore path> -srcstoretype -srcstorepass <source keystore type> changeit -destkeystore <대상 키 스토어 경로> -deststoretype BCFKS -deststorepass changeit -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath <BouncyCastle FIPS jar 경로>
      주:
      Rome 및 이후 MID 설치에는 이 목적에 적합한 BouncyCastle 항아리가 포함되어 있습니다. .../agent/lib/bc-fips.jar에서 찾을 수 있습니다.
    2. JRE의 기본 KeyStore 유형은 <JRE 설치 디렉터리>\conf\security\java.security 파일에서 설정할 수 있습니다.
    3. 해당 파일에서 keystore.type 줄을 찾아 해당 값을 다음과 같이 설정합니다. keystore.type=bcfks
    4. MID Server의 .../agent/conf/wrapper-override.conf 파일에서 FIPS 줄의 주석을 제거하고 해당 값을 true로 설정합니다.
      줄은 다음과 같아야 합니다. wrapper.java.additional.106=-Dorg.bouncycastle.fips.approved_only=true